2017-GBT 35273-2017 关于《个人信息安全规范》的国家标准

ICS 35.040 L80 中华人民共和国国家标准 GB/T 35273—2017 信息安全技术个人信息安全规范 Information security technology — Personal information security specification （报批稿） 2017-11-30 2017 - 12 - 29 发布 2018 - 05 - 01 实施 GB/T 35273—2017 目次前言 ............................................................................... III 引言 ................................................................................ IV 1 2 3 4 5 范围 ............................................................................... 1 规范性引用文件 ..................................................................... 1 术语和定义 ......................................................................... 1 个人信息安全基本原则 ............................................................... 3 个人信息的收集 ..................................................................... 4 5.1 收集个人信息的合法性要求 ........................................................ 4 5.2 收集个人信息的最小化要求 ........................................................ 4 5.3 收集个人信息时的授权同意 ........................................................ 4 5.4 征得授权同意的例外 .............................................................. 4 5.5 收集个人敏感信息时的明示同意 .................................................... 5 5.6 隐私政策的内容和发布 ............................................................ 5 6 个人信息的保存 ..................................................................... 6 6.1 个人信息保存时间最小化 .......................................................... 6 6.2 去标识化处理 .................................................................... 6 6.3 个人敏感信息的传输和存储 ........................................................ 6 6.4 个人信息控制者停止运营 .......................................................... 6 7 个人信息的使用 ..................................................................... 6 7.1 个人信息访问控制措施 ............................................................ 7 7.2 个人信息的展示限制 .............................................................. 7 7.3 个人信息的使用限制 .............................................................. 7 7.4 个人信息访问 .................................................................... 7 7.5 个人信息更正 .................................................................... 8 7.6 个人信息删除 .................................................................... 8 7.7 个人信息主体撤回同意 ............................................................ 8 7.8 个人信息主体注销账户 ............................................................ 8 7.9 个人信息主体获取个人信息副本 .................................................... 8 7.10 约束信息系统自动决策 ........................................................... 8 7.11 响应个人信息主体的请求 ......................................................... 9 7.12 申诉管理 ....................................................................... 9 8 个人信息的委托处理、共享、转让、公开披露 ........................................... 9 8.1 委托处理 ........................................................................ 9 8.2 个人信息共享、转让 ............................................................. 10 8.3 收购、兼并、重组时的个人信息转让 ............................................... 10 8.4 个人信息公开披露 ............................................................... 10 8.5 共享、转让、公开披露个人信息时事先征得授权同意的例外 ........................... 11 I GB/T 35273—2017 8.6 共同个人信息控制者 ............................................................. 8.7 个人信息跨境传输要求 ........................................................... 9 个人信息安全事件处置 .............................................................. 9.1 安全事件应急处置和报告 ......................................................... 9.2 安全事件告知 ................................................................... 10 组织的管理要求 ................................................................... 10.1 明确责任部门与人员 ............................................................ 10.2 开展个人信息安全影响评估 ...................................................... 10.3 数据安全能力 .................................................................. 10.4 人员管理与培训 ................................................................ 10.5 安全审计 ...................................................................... 11 11 11 11 12 12 12 12 13 13 13 附录 A（资料性附录）个人信息示例 ................................................... 15 附录 B（资料性附录）个人敏感信息判定 ............................................... 16 附录 C（资料性附录）保障个人信息主体选择同意权的方法................................ 17 附录 D （资料性附录）隐私政策模板 .................................................. 20 参考文献 ............................................................................ 29 II GB/T 35273—2017 前言本标准按照GB/T 1.1—2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。请注意本文件